Deutsch
Deutsch
In der Webentwicklung ist sicherer Speicher von Benutzerkennwörtern eine grundlegende und entscheidende Aufgabe. Trotz der zunehmenden Beliebtheit von Sicherheitswissen verwenden viele Entwickler die MD5 () -Funktion gewöhnlich, um Benutzerkennwörter zu verschlüsseln und zu speichern, wenn sie Anfänger sind oder einfache Systeme erstellen. Heute werden wir darüber sprechen, ob die Verwendung von MD5 zum Speichern von Passwörtern und in Bezug auf diese Praxis häufiger Missverständnisse stecken.
MD5 () ist eine in PHP eingebaute Hash-Funktion, mit der eine Saite jeder Länge in eine Hexadezimalstrich mit 32 Zeichen umwandeln kann. Zum Beispiel:
<span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-title function_ invoke__">md5</span></span><span>(</span><span><span class="hljs-string">'password123'</span></span><span>); </span><span><span class="hljs-comment">// Ausgabe:482c811da5d5b4bc6d497ffa98491e38</span></span><span>
</span></span>Dies ist ein irreversibler Hashing -Prozess (theoretisch). Viele frühe Entwickler benutzten es, um Benutzerkennwörter "verschlüsselt" in ihrem Speicher zu speichern, und waren der Ansicht, dass dies die Privatsphäre der Benutzer schützen würde.
Die Antwort lautet: Es ist nicht sicher und wurde vor langer Zeit beseitigt.
Die Hauptgründe sind wie folgt:
MD5 () ist ursprünglich als Hash -Funktion gedacht, mit der die Datenintegrität überprüft wird, und seine Berechnungsgeschwindigkeit ist extrem schnell. Es ist jedoch aufgrund ihrer Geschwindigkeit sehr einfach, für Brute -Force -Angriffe oder Regenbogentischangriffe zu verwenden.
Angreifer können in kürzester Zeit eine große Anzahl von Kombinationen ausprobieren, um das ursprüngliche Passwort zu erraten, insbesondere ohne Widerstand gegen gemeinsame oder schwache Passwörter.
MD5 () ist eine deterministische Funktion - der gleiche Eingang erzeugt immer den gleichen Ausgang. Dies führt dazu, dass der generierte Hash -Wert der Hash -Wert gleich ist, und der Angreifer muss ihn nur einmal knacken und kann auf mehrere Konten angewendet werden.
Die Hash -Speichermethode ohne Salz ist sehr einfach durch den Regenbogentisch abgebaut zu werden.
Es gibt eine große Anzahl von Mapping -Datenbanken für MD5 -Hash- und Klartextkennwörter im Internet. Beispielsweise müssen Sie nur den von MD5 ('123456') erhaltenen Hash -Wert in die Suchmaschine einfügen, und Sie können das ursprüngliche Passwort häufig sofort finden.
PHP stellt Password_hash () und password_verify () Funktionen ab Version 5.5 bereit, die derzeit empfohlene Methoden zur Kennwortverschlüsselung und -überprüfung sind.
Der Beispielcode lautet wie folgt:
<span><span><span class="hljs-comment">// Passwort erstellen Hash</span></span><span>
</span><span><span class="hljs-variable">$hash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-string">'password123'</span></span><span>, PASSWORD_DEFAULT);
</span><span><span class="hljs-comment">// Passwort überprüfen</span></span><span>
</span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">password_verify</span></span><span>(</span><span><span class="hljs-string">'password123'</span></span><span>, </span><span><span class="hljs-variable">$hash</span></span><span>)) {
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">'Richtiges Passwort'</span></span><span>;
} </span><span><span class="hljs-keyword">else</span></span><span> {
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">'Fehlerkennwort'</span></span><span>;
}
</span></span>password_hash () verwendet standardmäßig den Bcrypt -Algorithmus und generiert automatisch zufällige Salzwerte. Es verfügt über eingebaute Mechanismen, um Brute Force Cracking- und Regenbogentischangriffe zu bekämpfen.
Automatische Salzzusatz
Konfigurierbare Berechnungsintensität (Kostenfaktor)
Skalierbar (unterstützt verschiedene Algorithmen, wie Argon2)
Die offizielle Wartung entspricht moderne Standards für Passwortspeicher
Die Verwendung von MD5 () zum Speichern von Passwörtern ist veraltet und gefährlich, und obwohl es in frühen Projekten häufiger vorkommt, ist es heute nicht mehr sicher. Wenn Cyber -Angriffsmethoden weiter aufgerüstet werden, sollten Entwickler das alte Sicherheitskonzept aufgeben und eine modernere und sichere Möglichkeit verwenden, um Benutzerkennwörter zu verarbeiten.
Denken Sie daran: Sicherheit hängt nicht von "Verschlüsselung" ab, sondern von Design.
Das Umarmen von password_hash () und Ablehnung von MD5 () ist der grundlegendste Respekt für die Benutzersicherheit.
